Trojan-Downloader.JS. Agent.fig

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт.


Деструктивная активность

После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Затем используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "MSXML2.XMLHTTP ", пытается выполнить загрузку файла со следующего URL:

http://br***us2sz.com/ww/l.php?i=1 
а затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл на один уровень выше от рабочего каталога с именем "file.exe" и затем запускает файл на выполнение.

При наличии установленного в браузере плагина Adobe Acrobat, троянец, в скрытом фрейме, пытается загрузить и выполнить с сервера злоумышленника вредоносные сценарии. В зависимости от версии Adobe Acrobat троянец загружает один из документов, который содержит в себе эксплоит:

%RootDir%/tmp/geticon.pdf
%RootDir%/tmp/printf.pdf
%RootDir%/tmp/collab.pdf
%RootDir%/tmp/newplayer.pdf
%RootDir%/tmp/libtiff.pdf
Вредонос создает на странице объект Shockwave Flash, с именем "BridgeMovie" и с уникальным идентификатором:
D27CDB6E-AE6D-11cf-96B8-444553540000
при помощи которого, пытается загрузить и выполнить с сервера злоумышленника вредоносный сценарий:
%RootDir%/ tmp/flash.swf
В зависимости от версии установленного в системе Flash плеера, вредонос создает и запускает "swf" файл, который содержит в своем коде эксплоит для данного флэш плеера.

В результате выполнения кода эксплоита происходит загрузка файла, который размещается по следующему URL:

http://br***us2sz.com/ww/l.php?i=7
Уязвимые версии продукта - 9.0.115.0, 9,0.16.0, 9.0.28.0, 9.0.45.0, 9.0.47.0, 9.0.64.0, 10.0.12.36, 10.0.22.87, 9.0.124.0, 9.0.151.0, 9.0.159.0. Далее троянец использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файлов, которые размещаются по ссылкам:
http://br***us2sz.com/ww/l.php?i=18
http://br***us2sz.com/ww/l.php?i=12
и сохранить под именем:
%Temp%\pdfupd.exe
Затем троянец запускает загруженный файл на выполнение.

На момент создания описания ссылки не работали.